一、事件概述
2018 年 1 月 2 日 8 点 30 分,某省级单位联网直报系统页面突发无法访问。经排查,服务器出现异常命令执行记录:攻击者利用系统漏洞结束了关键进程,并尝试从境外服务器下载病毒程序。经过紧急应急处置,事件得到有效控制,系统恢复正常。分析结果显示,事件源于 WebLogic 中间件存在高危远程代码执行漏洞。
二、事件检测与分析过程
应急服务团队迅速介入,按照标准流程开展检测与分析:
1. 异常行为确认
- 检查系统日志,发现恶意 history 命令执行记录。
- 攻击脚本主要功能:
- 下载器功能:尝试通过 wget、curl、python 等工具,从境外 IP 165.227.215.25 下载 xmrig-y 文件。
- 进程清除功能:通过 killer() 函数,结束高 CPU 进程。
- 运行器功能:下载病毒程序后,赋予权限并运行。
- 病毒样本 xmrig-y 被分析为加密货币挖矿程序(门罗币 Monero),会创建伪装文件(如 /tmp/EB93A6/996E.elf),消耗服务器资源进行非法挖矿。
2. 攻击路径溯源
- 登录审计:last 登录记录无异常,排除弱口令爆破等手段。
- 漏洞定位:服务器使用 Oracle WebLogic Server 10.3.6.0,存在已知高危远程代码执行漏洞(CVE-2017-10271),攻击者可通过 wls-wsat 组件远程执行任意命令。
- 防护设备日志分析:WAF 日志初查无异常,手动更新特征库后发现针对 wls-wsat 的攻击行为。防火墙特征库未及时生效,攻击未被拦截。
三、事件定性
本次事件为 利用 WebLogic 中间件已知高危漏洞发起的远程代码执行攻击。攻击者通过漏洞控制服务器,主要目的是:
- 下载并运行挖矿程序,非法牟利
- 清除竞争资源的进程,导致业务系统服务中断
四、应急处置与修复措施
应急处置团队采取了以下措施:
1. 抑制与根除
- 服务器网络策略禁止主动外连,病毒程序未能成功下载,有效避免财产损失。
- 彻底根除隐患,强烈建议立即安装 WebLogic 安全补丁。
- 如无法立刻打补丁,可临时删除易受攻击组件:
rm -rf /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
